拆解有關混合雲端安全性之迷思

市場研究機構 451 Research 最近就混合雲端策略向亞太區內超過 400 位任職大型企業的 IT 決策人員進行調查。就《邁向混合雲端:亞太區企業對雲端及託管服務的需求》白皮書顯示,逾半數 (52%) 受訪企業已經或計劃使用完全整合的混合雲端。然而,企業要打造及維護混合雲端並保障其安全,既複雜亦挑戰重重。

一般而言,混合雲端可助企業提升數據安全,調查發現 IT 管理層認為混合雲端有助他們改善營運安全 (59%)、提升災難復原能力 (34%) 及網絡安全 (31%)。但另一方面,他們亦表示混合雲端將會帶來新的安全威脅,如在加密(46%),管理和監控(44%),以及身份和訪問管理(33%)等關鍵領域暴露安全漏洞。

全新的安全策略: 從伺服器到數據

混合雲端顛覆了傳統數據安全的概念。關鍵數據在企業及雲端服務供應商系統之間傳送,令邊界變得模糊,故企業必須採取全新的安全策略以保障其混合雲端環境安全嚴密。

在傳統的內部部署(on-premises)架構下,關鍵數據嚴密存於公司核心 IT 基礎設施內,網絡安全團隊只須管理基礎設施,便可監控數據存取。然而在混合雲端的環境下,數據不再僅存於內部基礎設施,超出安全團隊的控制範圍,故只用特徵比對(signature-based)的防禦機制及限制伺服器存取權限並不足夠,尤其是雲端這類靈活而多租户的環境,常有黑客窺探安全漏洞。因此,企業必須採取強大的數據加密解決方案以避免關鍵數據被盜。

另外,數據在內部基礎設施及雲端服務供應商系統之間傳送時最易受到攻擊,故不少企業採用網絡專線以縮短延時及加強安全。

兼容性是重大關鍵

雲端環境瞬息萬變,隨時隨地面對威脅,稍一不慎便會暴露安全漏洞,例如在定期維護雲端伺服器集群(server farm)時錯誤修補網絡設備,或是在雲端內安全性較低的應用程式受到攻擊等。

CIO 要確保網絡安全,必須仔細審查雲端服務供應商環境,並了解他們的安全政策是否與公司兼容。一旦發現差距,IT 部門就要採取行動修正。CIO 必須緊密監察公司內部及雲端服務供應商所用基礎設施的安全政策和性能,以確保一旦出現網絡攻擊時可立即採取積極的防禦措施。

另一方面,雲端服務供應商必須清楚了解各地的法例條文對企業的影響,尤其是有嚴格的數據主權法例或數據私隱條例的國家地區,例如歐盟的 GDPR 法案。

預防「殭屍」

在雲端環境,很容易產生新的執行實例,但舊有實例又會如何?它們往往變成「殭屍電腦」(zombies) 或「雲端殭屍」(cloud zombies),活躍卻不受監控。問題是它們很快便過時,甚少修補故易受攻擊。因此雲端服務供應商應有完善的生命週期管理及監控程序,定期清除不再需要的執行實例。

此外,企業在混合雲端的工作負載應可自由在各雲端間遷移,以滿足法例規管、災難復原或應用表現等要求。 企業與服務供應商之間須有清晰的服務水平協議(SLA),列明供應商如何處理遷移過程,避免出現企業網絡被「封閉鎖死」的情況 。

定出切實期望

儘管有人認為雲端並不安全,但事實正好相反。成熟的雲端服務供應商深明網絡安全問題備受企業關注,因此時刻確保基礎設施安全,並投資在最新的安全方案及優秀人才上。

無疑,保障雲端安全既繁複,亦需新策略。該 451 Research 亞太區混合雲端調查顯示不少 CIO 轉向尋求託管安全服務,包括專業及顧問服務 (45%)、風險及合規管理(38%),以及事故應變與處理 (37%),助他們成功部署及管理混合雲端。

託管安全服務供應商可協助企業設計架構,滿足他們在混合雲端中的特定安全需求,有效管理風險及符合法規要求。一旦企業遭受網絡攻擊而令數據泄露,他們亦有專業的經驗知識及系統,採取事故應變措施及補救流程。同時他們會全方位審視企業的網絡安全,並就安全漏洞提供精闢見解。

借助託管服務供應商的雲端人才及經驗,企業便可輕鬆確保混合雲端安全,無論數據是在公司內部或雲端,均在他們的嚴密監控之下,盡享混合雲端的優勢。

撰文:NTT Communications Managed Services 解決方案總監 Dave Scott